最新

您是否知道 VSCode 扩展程序可以完全访问您的系统——包括文件系统、网络和凭据？更糟糕的是，数十个恶意扩展程序已经进入市场，悄无声息地危害设备安全。 我是一名安全研究员和学生开发者，自己也遇到了这个问题。为了解决这个问题，我开发了一个 100% 免费的工具（无需登录），用于扫描 VSCode（以及 Cursor/Windsurf）扩展程序，以查找： * 隐藏的恶意软件和混淆代码 * 危险的权限和 API 滥用 * 存在漏洞的依赖项和可疑的网络连接 用户已经发现了扩展程序中数百个漏洞。 VSCan 生成一份清晰、对开发者友好的安全报告，帮助您了解您正在安装的内容。 试用一下：[https://www.vscan.dev](https://www.vscan.dev) 我还开发了自定义的沙盒安全架构，以限制扩展程序在运行时进行恶意活动。目前还没有类似的技术，如果您有兴趣试用或了解更多信息，请联系我！ 非常感谢您的反馈和帮助！ _______________________________________________________________________________ 以下是我从市场上 1077 个扩展程序样本中检测到的一些数据： * 3 个扩展程序被 VirusTotal 标记为恶意 * 7 个扩展程序使用恶意网络连接（经 VirusTotal 验证） * 33 个扩展程序具有存在严重漏洞的依赖项 * 39 个扩展程序包含敏感信息（我见过 API 密钥、用户名、密码等） * 204 个扩展程序存在 OSSF 标记的糟糕开发实践 * 71 个扩展程序具有非常高的权限（虽然不一定是坏事，但可能表明存在潜在的恶意活动） 例如，这里有一个扩展程序分析的链接，其中包含恶意网络端点： [https://vscan.dev/?analysisId=9e6c1849-3973-402b-a4ff-3b4023...](https://vscan.dev/?analysisId=9e6c1849-3973-402b-a4ff-3b4023...)